Vi sentite sopraffatti dall’idea di avviare un programma di intelligence sulle minacce? Non siete soli! Si trovano così tanti modelli, montagne di informazioni su fonti, metodi e analisi, che cercare la soluzione perfetta in base alle risorse e alle esigenze della vostra azienda può diventare un’impresa davvero titanica. Per semplificarvi le cose e rendervi il tutto più pratico, vi proponiamo un approccio diverso, più chiaro e pragmatico, che vi aiuti a comprendere meglio lo scenario delle minacce che circondano la vostra organizzazione.
Questa è la prima di una serie di guide che vi consentiranno di costruire un solido programma di intelligence sulle minacce partendo dalle basi. Ci concentreremo su tre punti fondamentali: 1) individuare i vostri asset aziendali più critici da proteggere; 2) identificare i potenziali aggressori informatici che potrebbe volere quei dati; 3) trovare fonti di intelligence sulle minacce utili per la vostra organizzazione. Questi articoli si integrano perfettamente con il nostro precedente post sull’importanza dei PIR, acronimo di Priority Intelligence Requirements, ovvero i requisiti di intelligence prioritari. Infatti, i primi due focus di questa serie vi aiuteranno a definire e creare i vostri PIR in modo più efficace. In questo primo articolo, ci concentreremo su un aspetto fondamentale: capire a cosa gli hacker potrebbero puntare.
Bene, da dove iniziamo?
Il primo passo per avviare un programma di intelligence sulle minacce è capire cosa possedete e cosa volete proteggere. Questo esercizio mentale richiede di analizzare la situazione da due punti di vista: il vostro e quello dei criminali informatici. In sintesi, dovete individuare ciò che è importante per VOI e ciò che lo è per LORO. La capacità di riassumere chiaramente questi elementi è fondamentale per impostare un sistema di intelligence sulle minacce che possa definirsi solido.
Cosa considerate importante?
La prima fase di questo processo consiste nell’individuare ciò che è importante per VOI. Si tratta di capire quali sono le risorse aziendali critiche per il funzionamento della vostra attività (vale a dire, cosa è indispensabile per far andare avanti l’azienda) e qualsiasi altra proprietà considerata fondamentale per la vostra società (ad esempio, proprietà intellettuale, dati o altri aspetti unici della vostra azienda).
- Considerazioni operative: queste possono includere elementi basilari come il denaro e le informazioni finanziarie (comuni a tutte le aziende), ma dovrebbero anche comprendere considerazioni relative alle tecnologie o alle applicazioni cruciali per la vostra attività e alle potenziali vulnerabilità che potrebbero riguardarle. Le valutazioni possono includere anche sistemi di controllo industriali o dispositivi IoT che devono essere monitorati per individuare potenziali minacce. Anche i dati dei clienti rientrano in questa categoria.
- Altre considerazioni: queste riguardano ciò che distingue la vostra azienda. Si tratta di proprietà intellettuale? Dati di ricerca o altre informazioni uniche e sensibili? A quali dati, accessi o processi critici per la vostra attività potrebbero essere interessati gli aggressori informatici?
Cosa considerano importante gli hacker?
La seconda fase di questo processo consiste nel fare un passo indietro e guardare alla vostra azienda attraverso gli occhi di un potenziale aggressore digitale. In altre parole, cosa offre la vostra azienda che potrebbe essere prezioso per un criminale informatico o per uno Stato nazionale coinvolto in attività malevole online? Spesso, ciò che è importante per voi coinciderà con ciò che interessa anche a loro. L’esempio più ovvio è il denaro: i gruppi di ransomware e altri hacker hanno motivazioni finanziarie. Anche la vostra proprietà intellettuale potrebbe risultare particolarmente interessante per alcuni gruppi al soldo di Stati nazionali (ad esempio, i dati relativi alle tecnologie energetiche sono particolarmente appetibili per la Cina). Un altro punto da considerare è il vostro parco clienti e/o le aziende con cui potreste essere collegati. Questo aspetto è stato recentemente evidenziato in un avviso del governo degli Stati Uniti sulle minacce alle infrastrutture critiche, in cui si avvertono le piccole e medie imprese che potrebbero essere prese di mira proprio per i loro legami commerciali con entità di infrastrutture critiche più grandi.
Cosa fare dopo?
Individuare ciò che è importante è il primo passo per costruire un programma di intelligence sulle minacce. Nel prossimo post di questa serie, analizzeremo quali aggressori informatici potrebbero essere interessati alla vostra azienda in base a quanto avete individuato tramite questo processo, in modo da poter identificare questi gruppi e le loro modalità operative. Conoscere chi potrebbe attaccarvi vi permetterà di calibrare le difese contro le minacce più comuni che potreste ritrovarvi ad affrontare e di massimizzare l’utile sul capitale investito nella sicurezza informatica.
